- Kraken ransomware mengukur kinerja sistem sebelum menentukan skala kerusakan enkripsi
- Salinan bayangan, Recycle Bin, dan cadangan dihapus sebelum enkripsi dimulai
- Sistem Windows, Linux, dan ESXi semuanya menghadapi serangan berbasis benchmark dari Kraken
Kampanye ransomware Kraken memperkenalkan langkah patokan yang menghitung waktu enkripsi file sementara untuk menentukan seberapa cepat file tersebut dapat mengenkripsi data korban.
Peneliti dari Cisco Talos menemukan malware membuat file data acak, mengenkripsinya, mencatat kecepatan, dan menghapus file pengujian.
Hasilnya memandu para peretas dalam memilih antara enkripsi penuh dan pendekatan parsial yang tetap merusak file sambil menghindari beban sistem berlebihan yang dapat mengekspos aktivitas mereka.
Menargetkan aset-aset utama perusahaan
Dalam laporan mereka, para peneliti menguraikan bagaimana Kraken mempersiapkan setiap lingkungan yang disusupi dengan menghapus salinan bayangan, membersihkan Recycle Bin, dan menonaktifkan layanan cadangan.
Versi Windows mencakup empat modul terpisah yang dirancang untuk mencari dan mengenkripsi database SQL, berbagi jaringan, drive lokal, dan mesin virtual Hyper-V.
Modul ini mengonfirmasi jalur, menghentikan mesin virtual yang aktif, dan menerapkan enkripsi dengan beberapa thread pekerja untuk meningkatkan cakupan.
Edisi Linux dan ESXi menghentikan mesin virtual yang berjalan untuk membuka kunci disk mereka dan menerapkan logika berbasis benchmark yang sama sebelum mengenkripsi data di seluruh host.
Setelah fase enkripsi selesai, ransomware mengeksekusi skrip yang membersihkan log, menghapus riwayat shell, menghapus biner, dan menghilangkan bukti operasi.
File menerima ekstensi .zpsc, dan catatan tebusan berjudul readme_you_ws_hacked.txt muncul di lokasi yang terpengaruh.
Cisco melaporkan kasus di mana penyerang meminta $1 juta dalam bentuk Bitcoin, dan indikator kompromi yang relevan didokumentasikan dalam repositori publik.
Kraken tampaknya memiliki ciri operasional yang sama dengan kelompok ransomware HelloKitty sebelumnya, karena kedua kelompok tersebut menggunakan nama file catatan tebusan yang identik dan saling merujuk pada situs kebocoran.
Para peretas di balik Kraken juga mengumumkan forum bawah tanah baru bernama The Last Haven Board, yang mengklaim menawarkan saluran komunikasi yang aman dalam ekosistem kejahatan dunia maya.
Dalam kasus yang terdokumentasi, penyerang memperoleh akses awal dengan mengeksploitasi layanan UKM rentan yang terekspos ke internet, mengambil kredensial administrator, dan masuk kembali ke lingkungan menggunakan Remote Desktop.
Persistensi dipertahankan melalui terowongan Cloudflare, dan SSHFS digunakan untuk bergerak melalui jaringan dan mengekstrak data.
Para penyerang menyebarkan biner Kraken setelahnya dan menggunakan kredensial curian untuk menyebarkannya ke sistem tambahan.
Agar tetap aman dari ancaman seperti Kraken memerlukan pendekatan yang konsisten untuk membatasi paparan dan mengurangi potensi kerusakan, sehingga organisasi harus tetap kuat perlindungan ransomwarememastikan pencadangan, kontrol akses, dan segmentasi jaringan diterapkan dan dipantau dengan benar.
Penyimpanan perangkat lunak antivirus diperbarui membantu mendeteksi file berbahaya sebelum menyebar, meskipun biasa penghapusan malware alat membersihkan sisa-sisa intrusi.
Membatasi layanan yang terhubung ke internet, menambal kerentanan, dan menerapkan otentikasi yang kuat semakin mengurangi peluang penyerang.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
